Bancario e Finanziario 

Phishing bancario: ho diritto al rimborso dalla banca?

Guida completa sui diritti del cliente bancario vittima di phishing: rimborso, responsabilità della banca, normativa PSD2 e come agire per tutelare il proprio patrimonio

Il phishing bancario è una delle frodi informatiche più diffuse e devastanti degli ultimi anni. Attraverso email ingannevoli, SMS contraffatti (smishing) o telefonate fraudolente (vishing), i criminali informatici riescono a sottrarre le credenziali di accesso ai conti bancari online e a effettuare trasferimenti non autorizzati, spesso svuotando completamente i conti delle vittime nel giro di poche ore. In Italia i casi sono in costante aumento, con danni economici che ammontano a centinaia di milioni di euro ogni anno.

La domanda che si pone ogni vittima è sempre la stessa: la banca è obbligata a rimborsarmi? La risposta non è semplice né univoca, ma la normativa europea e italiana — in particolare la Direttiva PSD2 recepita nel nostro ordinamento — offre tutele significative ai clienti che subiscono operazioni non autorizzate. La responsabilità del rimborso dipende da diversi fattori, tra cui la tipologia di frode, il comportamento del cliente e le misure di sicurezza adottate dall'istituto bancario.

In questa guida analizziamo in dettaglio il quadro normativo, i diritti del cliente, le difese tipicamente opposte dalle banche e la strategia migliore per ottenere il rimborso. Se sei stato vittima di phishing, non aspettare: contatta subito un avvocato bancario specializzato in frodi informatiche per valutare la tua situazione.

Cos'è il phishing bancario: tipologie e modalità di attacco

Il phishing bancario è una tecnica di ingegneria sociale volta a carpire le credenziali di accesso ai servizi bancari online. I cybercriminali si spacciano per la tua banca, per Poste Italiane, per l'Agenzia delle Entrate o per altri enti autorevoli, creando messaggi convincenti che inducono la vittima a fornire dati sensibili o ad autorizzare operazioni fraudolente.

Le principali tipologie di phishing bancario

  • Email phishing: Messaggi email che replicano graficamente le comunicazioni ufficiali della banca, con link a siti web contraffatti che raccolgono username, password e codici OTP.
  • Smishing (SMS phishing): SMS che sembrano provenire dalla banca, spesso con link malevoli o inviti a chiamare un numero fraudolento. In crescita esponenziale negli ultimi tre anni.
  • Vishing (voice phishing): Telefonate in cui il truffatore si finge un operatore bancario, crea un senso di urgenza (es. "c'è un'operazione sospetta sul suo conto") e convince la vittima a fornire codici di autorizzazione per operazioni truffaldine.
  • Man-in-the-middle: Attacchi più sofisticati in cui il criminale si interpone tra l'utente e la banca, intercettando le comunicazioni in tempo reale per appropriarsi dei codici di autorizzazione.
  • SIM swapping: Il truffatore convince il gestore telefonico a trasferire il numero di telefono della vittima su una nuova SIM, acquisendo così il controllo dei codici OTP inviati via SMS.

Il quadro normativo: PSD2 e responsabilità della banca

Il principale riferimento normativo per le frodi bancarie online è la Direttiva europea sui servizi di pagamento (PSD2), recepita in Italia con il D.Lgs. 218/2017. Questa normativa stabilisce principi molto chiari sulla responsabilità degli istituti di credito in caso di operazioni non autorizzate.

L'art. 12 del D.Lgs. 218/2017 (che ha modificato il D.Lgs. 11/2010) stabilisce che il prestatore di servizi di pagamento — ovvero la banca — deve rimborsare immediatamente l'importo dell'operazione non autorizzata al cliente, ripristinando il saldo del conto allo stato in cui si sarebbe trovato senza l'operazione fraudolenta. Questo principio di rimborso immediato è uno dei cardini della normativa PSD2.

Le eccezioni al rimborso: negligenza grave e frode del cliente

Il rimborso non è automatico e incondizionato. La banca può sottrarsi all'obbligo di rimborso dimostrando che:

  • Il cliente ha agito con dolo (ha partecipato alla frode)
  • Il cliente ha agito con negligenza grave, ovvero con una condotta particolarmente imprudente che va oltre la normale disattenzione

Il concetto di negligenza grave è al centro di molte controversie. Le banche spesso oppongono questo argomento per rifiutare il rimborso, sostenendo che il cliente "avrebbe dovuto accorgersi" della truffa. Ma la giurisprudenza più recente è molto critica verso questa difesa: non basta che il cliente abbia commesso un errore per configurare la negligenza grave — deve trattarsi di un comportamento oggettivamente irragionevole.

Comportamento del clienteValutazione giuridicaDiritto al rimborso
Risponde a email e inserisce le credenziali su sito contraffattoGeneralmente non è negligenza grave (la truffa era sofisticata)Probabile rimborso
Condivide codici OTP al telefono con un "operatore bancario"Dibattuto: dipende dalla sofisticatezza della truffaPossibile rimborso (da valutare)
Conserva PIN scritto sul telefono o condivide passwordPuò configurare negligenza graveRimborso a rischio
Partecipazione volontaria alla frodeDoloNessun rimborso

La responsabilità oggettiva della banca: autenticazione forte e SCA

La PSD2 ha introdotto l'obbligo di autenticazione forte del cliente (Strong Customer Authentication — SCA) per tutte le operazioni di pagamento online. La SCA richiede che l'operazione sia autorizzata attraverso almeno due dei tre fattori seguenti: qualcosa che il cliente conosce (PIN, password), qualcosa che il cliente possiede (smartphone, token), qualcosa che il cliente è (biometria).

Se la banca non ha implementato correttamente la SCA e l'operazione fraudolenta è stata eseguita senza adeguata autenticazione a due fattori, la responsabilità dell'istituto è molto forte. In questi casi, la giurisprudenza riconosce ampiamente il diritto al rimborso indipendentemente dalla condotta del cliente.

Il SIM swapping e la responsabilità della banca

Il SIM swapping rappresenta un caso particolarmente delicato. In questo scenario, il criminale ottiene il controllo del numero di telefono della vittima e intercetta i codici OTP. La banca riceve un'operazione formalmente autenticata con SCA, ma la vittima non ha mai autorizzato nulla.

Diverse sentenze italiane e dell'ABF hanno riconosciuto il diritto al rimborso in questi casi, stabilendo che la banca avrebbe dovuto implementare sistemi di rilevamento delle anomalie (es. il fatto che il SIM swap è avvenuto poche ore prima dell'operazione è un segnale di allarme che la banca avrebbe dovuto intercettare).

Come agire dopo aver subito un attacco di phishing

Agire rapidamente dopo la scoperta della frode è essenziale per aumentare le probabilità di recuperare i fondi sottratti e ottenere il rimborso dalla banca. Ecco i passi da compiere nell'ordine corretto.

Azioni immediate (prime 24-48 ore)

  1. Blocca immediatamente l'accesso all'home banking tramite l'app o chiamando il numero verde della banca. Chiedi il blocco della carta e del conto.
  2. Cambia tutte le password collegate ai servizi bancari e all'email associata al conto.
  3. Contatta il servizio antifrode della banca e segnala il furto, chiedendo formalmente il blocco e il ripristino delle operazioni non autorizzate.
  4. Sporgi denuncia alla Polizia Postale il prima possibile. La denuncia è fondamentale: senza di essa sarà molto più difficile dimostrare la frode nella fase legale successiva.
  5. Conserva tutta la documentazione: screenshot delle email/SMS fraudolenti, registro delle chiamate, estratti conto con le operazioni non autorizzate.

Azioni successive (entro i primi giorni)

  1. Invia un reclamo formale scritto alla banca, descrivendo dettagliatamente l'accaduto e richiedendo il rimborso delle somme sottratte ai sensi del D.Lgs. 11/2010.
  2. Richiedi alla banca i log delle operazioni per avere evidenza tecnica di come e da dove siano state eseguite le transazioni fraudolente.
  3. Consulta un avvocato specializzato in frodi bancarie per valutare la solidità della tua posizione e la strategia più adeguata.

Il reclamo alla banca e i rimedi stragiudiziali

Il reclamo formale alla banca è il primo step obbligatorio. Deve essere inviato per iscritto (raccomandata A/R o PEC), deve citare espressamente l'art. 12 del D.Lgs. 11/2010 (e successive modifiche), deve descrivere i fatti con precisione e deve indicare chiaramente le somme richieste a rimborso. La banca ha 15 giorni lavorativi per rispondere ai reclami relativi a operazioni di pagamento (30 giorni per gli altri reclami bancari).

Se il reclamo non viene accolto o la risposta è insoddisfacente, puoi rivolgerti all'Arbitro Bancario Finanziario. L'ABF è particolarmente attivo sul tema del phishing e ha emesso numerose decisioni favorevoli ai clienti, soprattutto nei casi in cui la truffa era sofisticata e la banca non aveva implementato adeguati sistemi di sicurezza o di rilevamento delle anomalie.

Nei procedimenti ABF relativi a phishing, la banca ha l'onere di dimostrare che l'operazione era autenticata correttamente e che il cliente ha agito con negligenza grave. Se non riesce a fornire questa prova, il rimborso viene disposto. Puoi anche avvalerti dell'assistenza di un esperto in recupero crediti bancari per supportarti nella procedura.

Quando è necessario andare in giudizio

Se l'ABF non risolve la controversia — o se la banca non aderisce alla decisione (l'ABF non è vincolante, sebbene le banche aderiscano nella grandissima maggioranza dei casi) — il ricorso al giudice ordinario diventa necessario. Prima di adire il tribunale è però obbligatorio il tentativo di mediazione.

Il giudizio ordinario per frode bancaria può essere lungo (da uno a tre anni in primo grado), ma le probabilità di successo sono significative quando la documentazione è solida e la truffa era sofisticata. I tribunali italiani, specialmente quelli con sezioni specializzate, hanno una giurisprudenza sempre più orientata a tutelare i consumatori nelle controversie con le banche su operazioni non autorizzate.

In sede giudiziale, oltre al rimborso del capitale sottratto, è possibile richiedere anche gli interessi legali maturati dalla data delle operazioni fraudolente e, nei casi più gravi, il risarcimento del danno non patrimoniale (stress, ansia, danni alla reputazione creditizia).

Prevenzione: come proteggersi dal phishing bancario

La prevenzione rimane il primo strumento di difesa. Alcune regole fondamentali possono ridurre drasticamente il rischio di cadere vittima di queste frodi:

  • Non cliccare mai su link contenuti in email o SMS che riguardano la tua banca: accedi sempre digitando l'indirizzo direttamente nel browser.
  • La tua banca non ti chiederà mai via email, SMS o telefono il codice OTP, il PIN o la password: qualsiasi richiesta in tal senso è una truffa.
  • Attiva le notifiche push o via SMS per ogni operazione: ti permettono di accorgerti immediatamente di movimenti sospetti.
  • Utilizza l'autenticazione biometrica (impronta digitale, Face ID) dove disponibile.
  • Verifica regolarmente gli accessi al tuo home banking dalla sezione "storico accessi" o equivalente.
  • Se ricevi una telefonata da un sedicente operatore bancario che crea urgenza, riaggancia e richiama il numero ufficiale della banca.

Hai un problema con la tua banca?

Consulta un avvocato specializzato su AvvocatoFlash:

Hai dubbi su bancario e finanziario?

Un avvocato a tua disposizione ogni volta che ti serve

Hai bisogno di assistenza legale? Studio legale online o Avvocato online su AvvocatoFlash: descrivi il tuo problema e ricevi una risposta da un avvocato specializzato entro 24 ore.
Se sono vittima di phishing la banca deve rimborsarmi?
In linea generale sì: il D.Lgs. 11/2010 (che recepisce la PSD2) impone alla banca di rimborsare immediatamente le operazioni non autorizzate. La banca può rifiutare solo se dimostra che il cliente ha agito con dolo o negligenza grave. L'onere della prova spetta alla banca, non al cliente.
Ho fornito il codice OTP al telefono a un falso operatore: perdo il diritto al rimborso?
Non necessariamente. La giurisprudenza e l'ABF valutano caso per caso. Se la truffa era sofisticata (ad esempio il truffatore conosceva dati riservati della vittima, come il numero di conto o l'ultima operazione effettuata), questo può escludere la negligenza grave. È fondamentale documentare ogni dettaglio della telefonata e affidarsi a un avvocato.
Entro quanto tempo devo segnalare la frode alla banca?
Prima possibile. Non esiste un termine perentorio brevissimo, ma la normativa prevede che la contestazione avvenga senza indugio non appena il cliente viene a conoscenza dell'operazione non autorizzata. Attendere settimane senza agire può essere interpretato come negligenza. Il termine massimo per la contestazione è 13 mesi dall'addebito.
Devo fare denuncia alla Polizia per ottenere il rimborso dalla banca?
La denuncia non è formalmente obbligatoria per richiedere il rimborso, ma è fortemente consigliata. Dimostra che il cliente ha preso sul serio l'accaduto, fornisce una prova documentale della frode e può aiutare nelle fasi successive (mediazione, ABF, giudizio). Va fatta alla Polizia Postale il prima possibile.
Cosa fa l'ABF nei casi di phishing?
L'Arbitro Bancario Finanziario ha trattato centinaia di casi di phishing e smishing, emettendo spesso decisioni favorevoli ai clienti. Analizza la sofisticatezza della truffa, le misure di sicurezza della banca (es. rispetto della SCA/PSD2) e il comportamento del cliente. Il procedimento è gratuito (20 euro rimborsabili) e dura al massimo 12 mesi.
Cosa succede se la banca non aderisce alla decisione dell'ABF?
L'ABF non emette provvedimenti vincolanti, ma le banche aderiscono nella grandissima maggioranza dei casi per evitare sanzioni reputazionali (le decisioni sono pubbliche). Se la banca non aderisce, puoi procedere con la mediazione obbligatoria e, se necessario, con il giudizio ordinario.
Posso essere rimborsato anche per il SIM swapping?
Sì. Il SIM swapping è una frode in cui il criminale ottiene una copia della tua SIM e intercetta i codici OTP. Diverse pronunce dell'ABF e sentenze di merito hanno riconosciuto il diritto al rimborso, stabilendo che la banca avrebbe dovuto rilevare l'anomalia (un SIM swap seguito a breve da un'operazione di pagamento è un segnale d'allarme).
Oltre al rimborso posso chiedere altri danni alla banca?
Sì. In sede giudiziale, oltre al rimborso del capitale sottratto con gli interessi legali, è possibile richiedere il risarcimento del danno non patrimoniale nei casi più gravi (stress significativo, danni alla salute, danno alla reputazione creditizia causato da eventuali segnalazioni negative conseguenti alla frode). La valutazione va fatta con un avvocato specializzato.

Hai bisogno di assistenza legale?

Scrivici, ti mettiamo in contatto con il miglior avvocato nella tua zona in poche ore.

Minimo 80 caratteri0 / 80
Avvocati verificati
50.000+ clienti aiutati

Articoli Correlati

related article

Assegno Bancario: La Guida Completa per Capirlo

assegno circolare

Scadenza assegno bancario: tutto quello che devi sapere nel 2025

assegno circolare

Sicurezza nei Pagamenti: Il Potere dell'Assegno Circolare

Un avvocato a tua disposizione ogni volta che ti serve

Oltre 200 avvocati in tutta Italia pronti a risolvere i tuoi problemi legali ad un costo fisso.

Stai cercando un Avvocato?

AvvocatoFlash ha aiutato oltre 50.000 persone come te nel 2026.

Da oggi con AvvocatoFlash puoi fare video conferenze con gli Avvocati e firmare i tuoi documenti legali senza uscire di casa

Contattaci per risolvere il tuo problema legale


Hai bisogno di un Avvocato?

Oltre 50.000 utenti hanno già provato AvvocatoFlash

Descrivi il tuo caso